Junior Member
Вес репутации
59
букет троянов
Подхватил вчера, главный там вроде vedx6g.... выскакивают сообщения о восстановлении системы, есть несанкционированный трафик (zone alarm не видит), томозит комп.. Купил даже PrevxCSI, он что-то лечит, но после перезагрузки все вылезает снова. И диспетчер задач блокируется.
Помогите пожалуйста.
во время составления syscheck.zip комп выключается. и файл слишком большой 1,6 мб - в приложение не влезает.
Вот файлы -
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('taskmon.sys');
QuarantineFile('C:\WINDOWS\system32\taskmon.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\AEAudio.sys','');
BC_DeleteSvc('FastUserSwitchingCompatibilitySwPrv');
QuarantineFile('C:\WINDOWS\system32\actmoviet.exe','');
BC_DeleteSvc('HTTPFilterMSDTC');
QuarantineFile('C:\WINDOWS\system32\algj.exe','');
BC_DeleteSvc('Netdf2cir');
QuarantineFile('Netdf2cir.sys','');
BC_DeleteSvc('TrkWksDnscache');
QuarantineFile('C:\WINDOWS\system32\aaaamonk.exe','');
BC_DeleteSvc('ShellHWDetectionwinmgmt');
QuarantineFile('C:\WINDOWS\system32\12520437g.exe','');
BC_DeleteSvc('lanmanserverMSIServer');
QuarantineFile('C:\WINDOWS\system32\12520850x.exe','');
QuarantineFile('c:\windows\system32\wind32.exe','');
QuarantineFile('c:\docume~1\1\locals~1\temp\winlogon.exe','');
QuarantineFile('c:\windows\system32\vedxg6ame4.exe','');
QuarantineFile('c:\windows\system32\maxpaynow1.exe','');
QuarantineFile('c:\windows\kavir.exe','');
QuarantineFile('c:\windows\system32\dllgh8jkd1q7.exe','');
QuarantineFile('c:\windows\system32\dllgh8jkd1q6.exe','');
DeleteFile('c:\windows\system32\dllgh8jkd1q6.exe');
DeleteFile('c:\windows\system32\dllgh8jkd1q7.exe');
DeleteFile('c:\windows\kavir.exe');
DeleteFile('c:\windows\system32\maxpaynow1.exe');
DeleteFile('c:\docume~1\1\locals~1\temp\winlogon.exe');
DeleteFile('c:\windows\system32\wind32.exe');
DeleteFile('C:\WINDOWS\system32\12520850x.exe');
DeleteFile('C:\WINDOWS\system32\12520437g.exe');
DeleteFile('C:\WINDOWS\system32\aaaamonk.exe');
DeleteFile('Netdf2cir.sys');
DeleteFile('C:\WINDOWS\system32\algj.exe');
DeleteFile('C:\WINDOWS\system32\actmoviet.exe');
DeleteFile('C:\WINDOWS\system32\taskmon.sys');
DeleteFile('C:\WINDOWS\mrofinu27.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
Хороший набор
access[1].htm_ - not-a-virus:Рorn-Dialer.Win32.GBDialer.j
actmoviet.exe_ - Backdoor.Win32.IRCBot.clv
dllgh8jkd1q6.exe_,dllgh8jkd1q7.exe_ - Trojan.Win32.Pakes.cqh
kavir.exe_ - Email-Worm.Win32.Zhelatin.xh
maxpaynow1.exe_ - Trojan-Downloader.Win32.Tibs.yj
vedxg6ame4.exe_ - Packed.Win32.Tibs.im
wind32.exe_ - Trojan-Downloader.Win32.Tibs.yh
winlogon.exe_ - SpamTool.Win32.Agent.hn
Junior Member
Вес репутации
59
вот попал.... доктор, пациент будет жить?
скрипт выполнил. логи прилагаю.
что делать дальше?
Вложения
Жить будет
Пофиксить
Код:
O3 - Toolbar: (no name) - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\wind32.exe
O4 - HKLM\..\Run: [SystemDrive] C:\WINDOWS\system32\maxpaynow1.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu27.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\1\LOCALS~1\Temp\winlogon.exe
O4 - HKCU\..\Run: [Service Pack 1] C:\WINDOWS\system32\vedxg6ame4.exe
O4 - HKCU\..\Run: [kavir] C:\WINDOWS\kavir.exe
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\docume~1\1\locals~1\temp\winlogon.exe');
TerminateProcessByName('c:\windows\system32\vedxg6ame4.exe');
QuarantineFile('C:\WINDOWS\System32\drivers\Amk57.sys','');
QuarantineFile('C:\WINDOWS\system32\1025x.exe','');
DeleteService('Amk57');
DeleteService('PlugPlaySwPrv');
DeleteFile('c:\windows\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\system32\1025x.exe');
DeleteFile('c:\docume~1\1\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\System32\drivers\Amk57.sys');
DeleteFile('C:\WINDOWS\kavir.exe');
DeleteFile('C:\WINDOWS\mrofinu27.exe');
DeleteFile('C:\WINDOWS\system32\maxpaynow1.exe');
DeleteFile('C:\WINDOWS\system32\wind32.exe');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\6P89SBCD\access[1].htm');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\6P89SBCD\access[2].htm');
DeleteFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\O3QTIT89\access[1].htm');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Amk57 ');
BC_DeleteSvc('PlugPlaySwPrv ');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21422
Повторите логи.Очистите временные Интернет папки.
Junior Member
Вес репутации
59
все сделал, карантин отправил
вот логи
появилась новая проблема - как только подключаюсь к инету от меня начинается исходящий трафик "чего-то" и "кому-то" на максимальной скорости. это пройдет?
Вложения
Пока лечим одно,загружается другое
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Ynd18.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Qtl03.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
DeleteService('Ynd18');
DeleteService('Qtl03');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Qtl03.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Ynd18.sys');
DeleteFile('WLCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Ynd18 ');
BC_DeleteSvc('Qtl03 ');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21422
Повторите логи.
Добавлено через 24 минуты
Карантин после скрипта из поста №5:
1025x.exe_ - Backdoor.Win32.IRCBot.clv
Amk57.sys - Trojan-Downloader.Win32.Agent.lxa
winmn[1].exe_ - Trojan-Dropper.Win32.Small.bkn
Последний раз редактировалось Гриша; 12.04.2008 в 15:55 .
Причина: Добавлено
Junior Member
Вес репутации
59
скрипт выполнил
утечка "чего-то" по исходящему трафику сохраняется. Приходится отключаться и отправлять файлы с другого компа.
вот логи.
Вложения
Пофиксить
Код:
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Wjh66');
DeleteFile('C:\WINDOWS\System32\drivers\Wjh66.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Wjh66 ');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится,трафик должен нормализоваться.Повторите логи.
Добавлено через 43 минуты
Карантин:
Ynd18.sys - Trojan-Downloader.Win32.Agent.lxa (удален)
WLCtrl32.dll - Trojan-Downloader.Win32.Mutant.iz (удален)
Последний раз редактировалось Гриша; 12.04.2008 в 17:24 .
Причина: Добавлено
Junior Member
Вес репутации
59
пофиксил, перезагрузилось, увы проблема с уходящим трафиком осталась - утекает со страшной скоростью. ничего не дает делать в сети (на этот сайт хожу с ноутбука).
логи повторил
на всякий случай свежий карантин тоже отправляю.
Вложения
выполните скрипт ...
Код:
begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\Installer\be4e30.msi','');
QuarantineFile('C:\WINDOWS\Installer\{AA11000A-C75E-487C-88FC-37AA1AACFB61}\ICON_SetupPPC.exe','');
QuarantineFile('C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe','');
QuarantineFile('C:\WINDOWS\system32\activedsh.exe','');
QuarantineFile('C:\WINDOWS\system32\acleditu.exe','');
QuarantineFile('C:\WINDOWS\system32\acluio.exe','');
QuarantineFile('C:\WINDOWS\system32\3ivxVfWCodecc.exe','');
QuarantineFile('C:\WINDOWS\system32\ahuip.exe','');
QuarantineFile('C:\WINDOWS\system32\algk.exe','');
QuarantineFile('C:\WINDOWS\system32\adsnwm.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
Junior Member
Вес репутации
59
скрипт выполнил. перезагрузился. сделал архив карантина и отправил.
проблема с уходящим трафиком пока есть.
activedsh.exe,acleditu.exe,ahuip.exe,algk.exe,adsn wm.exe-Backdoor.Win32.IRCBot.clv
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('WmiApSrvFastUserSwitchingCompatibilitySwPrv');
DeleteService('winmgmtbtwdins');
DeleteService('WebClientSamSs');
DeleteService('VSSDnscache');
DeleteService('SamSsSwPrv');
DeleteFile('C:\WINDOWS\system32\activedsh.exe');
DeleteFile('C:\WINDOWS\system32\acleditu.exe');
DeleteFile('C:\WINDOWS\system32\ahuip.exe');
DeleteFile('C:\WINDOWS\system32\adsnwm.exe');
DeleteFile('C:\WINDOWS\system32\algk.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('WmiApSrvFastUserSwitchingCompatibilitySwPrv ');
BC_DeleteSvc('winmgmtbtwdins ');
BC_DeleteSvc('WebClientSamSs ');
BC_DeleteSvc('VSSDnscache ');
BC_DeleteSvc('SamSsSwPrv ');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Вот этот файлик acluio.exe пришлите согласно приложению 2 правил.
Логи повторите.
Junior Member
Вес репутации
59
скрипт сделал, логи посылаю.
файла acluio ни с каким расширением нет ни в папке sys32 ни в других папках на компе нет! я хорошо искал.
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\3ivxVfWCodecc.exe','');
QuarantineFile('C:\WINDOWS\system32\acluio.exe','');
DeleteService('W32TimeRSVP');
DeleteService('VSSDnscache');
DeleteFile('C:\WINDOWS\system32\acluio.exe');
DeleteFile('C:\WINDOWS\system32\3ivxVfWCodecc.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('W32TimeRSVP ');
BC_DeleteSvc('VSSDnscache ');
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Если попадут в карантин пришлите по правилам.
Логи повторите.
Junior Member
Вес репутации
59
ура! есть прогресс - нет утечки по трафику, могу ходить в интернет.
скрипт сделал. логи посылаю. в карантин что-то попало, так что тоже посылаю. победа близка? спасибо.
Вложения
В карантин они конечно же не попали,в логах чисто,жалобы есть?
Junior Member
Вес репутации
59
жалоб нет! спасибо огромное Григорий и V_Bond!!!!! (смайлик бы вам с кружкой пива!)
буду ставить хороший большой файервол. не порекомендуете?
Выбирайте на свой вкус и цвет http://virusinfo.info/forumdisplay.php?f=40
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Из платных Outpost из бесплатных Comodo ...